Tres nuevos avisos de SCI
Índice
- Control inadecuado de la generación de código en Longwatch de Industrial Video & Control
- Falta de autenticación en productos de Iskra
- Múltiples vulnerabilidades en el software EC2 NMIS BioDose de Mirion Medical
Control inadecuado de la generación de código en Longwatch de Industrial Video & Control
Longwatch, versiones desde la 6.309 hasta la 6.334.
Un ingeniero OT ha informado sobre 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante, no autenticado, ejecutar de forma remota código con privilegios elevados.
Se recomienda actualizar los dispositivos a la versión 6.335 o posterior.
CVE-2025-13658: vulnerabilidad en dispositivos de Longwatch que permite ejecutar código arbitrario mediante solicitudes HTTP GET a través de un endpoint expuesto. Esto ocurre debido a la ausencia de firma de código y controles de ejecución. Para su explotación, esta vulnerabilidad se ejecuta con privilegios de nivel SYSTEM.
Falta de autenticación en productos de Iskra
Todas las versiones de los productos iHUB e iHUB Lite.
Souvik Kandar ha reportado 1 vulnerabilidad de severidad crítica que, en caso de ser explotada exitosamente, podría permitir a un atacante remoto reconfigurar dispositivos, actualizar el firmware y manipular los sistemas conectados sin requerir ninguna credencial.
No hay ninguna solución reportada por el momento.
Para más información se recomienda ponerse en contacto con Iskra o revisar las mitigaciones pertinentes que se detallan el enlace de las referencias.
CVE-2025-13510: vulnerabilidad sobre la falta de autenticación en los productos iHUB e iHUB Lite existente en la interfaz de administración web. Esto permite que usuarios no autenticados puedan acceder y modificar configuraciones críticas de los dispositivos.
Múltiples vulnerabilidades en el software EC2 NMIS BioDose de Mirion Medical
EC2 Software NMIS BioDose: versiones anteriores a 23.
Joe Dillon ha informado de 5 vulnerabilidades de severidad alta. La explotación exitosa de estas vulnerabilidades permitiría a un atacante modificar ejecutables del programa, ejecutar código arbitrario, acceder de forma no autorizada a la aplicación y acceder a información confidencial.
Se recomienda actualizar a la versión 23.0 o posterior.
CVE-2025-64642: por defecto, las rutas de directorio de instalación de NMIS/BioDose V22.02 y versiones anteriores tienen permisos de archivo inseguros, lo que podría permitir a los usuarios en las estaciones de trabajo cliente modificar los ejecutables y las bibliotecas del software.
CVE-2025-64298: las versiones de NMIS/BioDose V22.02 y anteriores que emplean Microsoft SQL Server Express integrado están expuestas en el recurso compartido de Windows, al cual tienen acceso los clientes en instalaciones en red. Por defecto, este directorio posee rutas de directorio inseguras que permiten acceder a la base de datos y los archivos de configuración del SQL Server, los cuales podrían tener información privada.
CVE-2025-61940: las versiones anteriores a la 22.02 de NMIS/BioDose, así como esta misma, emplean una cuenta de usuario compartida de SQL Server para acceder a la base de datos. Se permite el acceso a la base de datos subyacente siempre, pero en la aplicación cliente está limitado el acceso de los usuarios mediante una verificación de autenticación por contraseña.
CVE-2025-64778: vulnerabilidad en NMIS/BioDose V22.02; producto que contiene ficheros binarios ejecutables con contraseñas almacenadas en el código en texto plano. Se podría acceder sin autorización con estas contraseñas tanto a la aplicación como a la base de datos.
CVE-2025-62575: NMIS/BioDose V22.02 y versiones anteriores se basan en una base de datos de Microsoft SQL Server. La cuenta de usuario de SQL, 'nmdbuser', y otras cuentas generadas por defecto tienen asignado el rol de administrador del sistema. Esto puede dar lugar a la ejecución remota de código mediante algunos procedimientos almacenados integrados.